暗网潜航——DDoS(三):魑魅魍魉(三)
庞博文
2020-11-16 04:17 HKT
字体大小
DDoS攻击可透过发送大量经修改的数据封包,虚耗伺服器资源而瘫痪。有攻击者为求快速发动攻击,甚至会寻找方法,令数据封包自动复制,加强瘫痪系统能力。一种是利用非常老旧的用户资料报协议(UDP)进行攻击,名叫CharGEN Flood。这个协议通常是网络打印机默认连接端口,其特性之一是发送甚么数据给它都会自动回复,却成为重要漏洞。
攻击者找到多个运行这个端口的机器,就能向其发送无意义数据并不断请求,机器自动回复,就会形成大量互相往返的垃圾数据,最终目标耗尽资源,被强制下线或重启。
另一种是SNMP Flood,当攻击者找到运行简单网络管理协定(SNMP)机器后,就用封包制造器制造一些带有目标IP、经修改的小数据包发送给机器。机器收到数据包后会自行除错和回应,最终与CharGEN Flood同样构成DDoS攻击。
相比CharGEN Flood,SNMP Flood攻击速度和放大比率会更高,如果在内部网络扩散,后果惨不忍睹。我曾见过有数据中心客户伺服器被攻击者控制,并企图进行SNMP Flood攻击,但被防火墙内部规条阻隔,最终在内部不断环回,形成DDoS「内爆」。第三种是与网络时间协议(NTP)有关,名为NTP Flood。NTP主要通过封包交换,进行时钟同步的网络协定。我们每日穿戴身上、用在工作和娱乐,甚至代步的所有电脑化机器,它们启动和运行时都不停进行时钟同步。所以利用这个协定,修改数据封包并发动DDoS攻击,你应估计到影响有多恐怖了。
大家可能发现,触发封包复制放大的协议,大多数是电脑周边设备,它们的漏洞更新及安全抗击能力,往往不及主系统完善。过去我们可以把这些周边设备,纳入安全监控范围保护,但物联网兴起,有太多物件不明所以「被电脑化」,但缺乏安全保障,一旦发生攻击,后果不止是机器瘫痪,甚至有可能令现实世界发生意外。
TOZ联合创办人
庞博文
攻击者找到多个运行这个端口的机器,就能向其发送无意义数据并不断请求,机器自动回复,就会形成大量互相往返的垃圾数据,最终目标耗尽资源,被强制下线或重启。
另一种是SNMP Flood,当攻击者找到运行简单网络管理协定(SNMP)机器后,就用封包制造器制造一些带有目标IP、经修改的小数据包发送给机器。机器收到数据包后会自行除错和回应,最终与CharGEN Flood同样构成DDoS攻击。
相比CharGEN Flood,SNMP Flood攻击速度和放大比率会更高,如果在内部网络扩散,后果惨不忍睹。我曾见过有数据中心客户伺服器被攻击者控制,并企图进行SNMP Flood攻击,但被防火墙内部规条阻隔,最终在内部不断环回,形成DDoS「内爆」。第三种是与网络时间协议(NTP)有关,名为NTP Flood。NTP主要通过封包交换,进行时钟同步的网络协定。我们每日穿戴身上、用在工作和娱乐,甚至代步的所有电脑化机器,它们启动和运行时都不停进行时钟同步。所以利用这个协定,修改数据封包并发动DDoS攻击,你应估计到影响有多恐怖了。
大家可能发现,触发封包复制放大的协议,大多数是电脑周边设备,它们的漏洞更新及安全抗击能力,往往不及主系统完善。过去我们可以把这些周边设备,纳入安全监控范围保护,但物联网兴起,有太多物件不明所以「被电脑化」,但缺乏安全保障,一旦发生攻击,后果不止是机器瘫痪,甚至有可能令现实世界发生意外。
TOZ联合创办人
庞博文
更多文章